Эксперты Kaspersky GReAT предупреждают, что под угрозой могут быть ещё более 50 тысяч уязвимых устройств по всему миру
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую версию ботнета Mirai, которая за последние месяцы массово атаковала цифровые видеорегистраторы в разных странах, используя известную уязвимость. Большинство инцидентов приходится на Россию, Китай, Египет, Индию, Бразилию и Турцию. Специалисты предупреждают, что под угрозой могут быть ещё более 50 тысяч уязвимых устройств по всему миру.
Чем известен ботнет Mirai. Mirai — одна из наиболее серьёзных угроз для интернета вещей в настоящее время. Распространению ботнета способствует использование слабых паролей, а также устаревшего программного обеспечения с незакрытыми уязвимостями. Это позволяет злоумышленникам создавать масштабные сети заражённых компьютеров, в частности для совершения DDoS-атак и кражи конфиденциальных данных.
Новая модификация Mirai. Чтобы отслеживать атаки на интернет вещей, «Лаборатория Касперского» создаёт специальные приманки (honeypots). Анализируя активность вокруг таких ловушек, эксперты Kaspersky GReAT обнаружили попытку развернуть бот с использованием известной уязвимости CVE-2024-3721 — им оказалась новая модификация Mirai.
В текущей вредоносной кампании основной целью ботнета стали цифровые видеорегистраторы (DVR, Digital Video Recorder). Они используются во многих отраслях, в том числе для обеспечения общественной безопасности и защиты инфраструктуры предприятий. DVR-устройства записывают и обрабатывают данные с камер, установленных в жилых домах, супермаркетах, офисах и складах, а также на территории заводов, аэропортов, железнодорожных станций и образовательных учреждений.
Опасность новой версии Mirai заключается в том, что в ней реализованы механизмы для обнаружения и обхода сред виртуальных машин (VM) и эмуляторов — инструментов, которые обычно ИБ-специалисты применяют для анализа вредоносного ПО. Это позволяет ботнету оставаться незаметным и продолжать вредоносную активность на заражённых устройствах.
«Исходный код Mirai был опубликован в сети около десяти лет назад. С тех пор разные группы злоумышленников адаптировали и модифицировали его, чтобы создавать масштабные ботнеты, в основном для DDoS-атак или кражи информации. Множество таких ботов постоянно ищет новые устройства для заражения — для этого используются недоработки, которые не были своевременно устранены в IoT-устройствах и серверах. Проанализировав открытые источники, в рамках новой кампании мы обнаружили в сети более 50 тысяч уязвимых цифровых видеорегистраторов в разных странах. Это говорит о том, что у обнаруженной версии Mirai есть много потенциальных мишеней для атак», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.
Согласно телеметрии «Лаборатории Касперского», в 2024 году по всему миру совершено 1,7 миллиарда атак на устройства интернета вещей. Чтобы минимизировать риск заражения приборов, эксперты компании рекомендуют:
- не использовать логины и пароли, установленные на гаджете по умолчанию, — рекомендуется сразу после покупки заменить их на сложные и уникальные комбинации;
- регулярно обновлять программное обеспечение, чтобы своевременно устранять известные уязвимости;
- отключить возможность удалённого доступа к устройству, если в этом нет необходимости;
- по возможности выделить IoT-устройства в отдельные изолированные сети;
- отслеживать необычный сетевой трафик, чтобы вовремя обнаружить потенциальные угрозы.
* Сеть заражённых устройств, которую злоумышленники используют для различной вредоносной активности.
